攻撃者の手口に変化か
見出し
「2026年版脅威情勢レポート」では、攻撃者の手口における次のような重要な変化が明らかにされています。
-
生成AIが運用エンジンに: 脅威アクターはAIを活用し、悪意あるインフラを機械並みの速度で反復・再生成しています。この自動化により、悪意あるキャンペーンの持続性が高まり、検知から影響発生までの時間が短縮されるといいます。
-
エッジにある「金庫の扉」が標的に: エンドポイント検出・対応(EDR)技術の成熟に伴い、攻撃者の標的は、ルーター、VPNゲートウェイ、ファイアウォールなど、インターネットに露出したエッジ・デバイスへと移りつつあります。これらの資産は、特権的なアクセスを提供し、フォレンジック機能が限定的であり、通常は従来のエンドポイント・セキュリティの可視範囲外で稼働していると指摘されています。
-
住宅用に偽装されたプロキシの台頭: 犯罪組織や国家支援系アクターは、侵害されたSOHO(小規模オフィス/ホームオフィス)向けデバイスを利用して、プロキシ・ネットワークを産業化しています。攻撃者は、こうした「レンタル可能なアイデンティティ」を乗っ取ることで、正当な住宅用トラフィックに紛れ込み、ゼロ・トラストやジオロケーション制御を回避している状況です。
-
帰属の境界線が曖昧に: 高度なスパイ・キャンペーンの多くは、近年「盗用された準備基盤」の上に構築されているといいます。これは、国家支援系アクターが犯罪者のインフラを乗っ取り、ありふれた犯罪活動が飛び交う中に紛れて、自らの痕跡を隠す手法です。
LumenのSVP兼最高セキュリティ責任者であるNat Habtesion氏は、「攻撃者がインターネットに露出したエッジ・インフラへと軸足を移すにつれ、防御側は攻撃の重要な局面で可視性を失いつつあります。LumenとBlack Lotus Labsのチームは、攻撃者がネットワーク層で攻撃用インフラを構築していく段階を捉えることで、脅威アクターの活動を早期に特定し、進行中のキャンペーンを阻止し、被害が発生する前にセキュリティ・チームの運用負担を軽減できます」と述べています。
サイバー犯罪のプロフェッショナル化
同レポートは、「強盗団」モデルこそがサイバー作戦の新たな標準であると位置付けています。これらのアクターは、単体のマルウェアを展開するのではなく、物流企業のような精密さで活動しているといいます。生成AIを用いて、防御側が手動で追跡するよりも速いスピードでIPアドレスやドメイン名を切り替え、侵害された住宅用ルーターを通じて「レンタル可能なアイデンティティ」を利用し、日常の住宅用トラフィックに紛れ込んでいます。この高度にプロフェッショナル化された体制により、攻撃者はネットワークの「準備拠点」において姿を見せずに行動でき、標的と接触する時点では、すでに最も抵抗の少ない経路が切り開かれていると分析されています。
上流インテリジェンスへの移行
従来の防御モデルの多くは、感染後にネットワーク内部で得られるシグナルに依存しています。しかし、2026年版レポートでは、エンドポイントでアラートがトリガーされた時点で、攻撃者による準備、すなわちスキャン、インフラの切り替え、プロキシの形成がすでに完了していることが示されています。
Lumenは、パブリックIPv4アドレスの約99%に対する可視性を有し、毎日約2,000億件を超えるNetFlowセッションと約4万6,000件のC2を監視していると発表しています。この観測上の優位性により、Black Lotus Labsは、連携したインフラの挙動を、その兆候が現れた段階で特定できるとしています。2025年には、Lumenは複数パートナーによる約8件の摘発作戦に参加し、約5,000件のIPを無力化して、敵対者の能力低下を図ったということです。
同レポートでは、この新たな時代を象徴する注目度の高い攻撃活動についても、いくつか詳しく分析しています。
-
Kimwolf: 住宅用プロキシのエコシステムを悪用し、数週間で数十万規模にまで拡大した大規模なDDoS(分散型サービス拒否)ボットネットです。Lumenの観測では、Kimwolfはわずか1週間でボット数を3倍に増やし、毎秒約30テラビット(Tbps)に達する攻撃を仕掛けていたとされています。
-
Rhadamanthys: 摘発時点では量的に最大規模のMaaS(サービスとしてのマルウェア)プラットフォームです。サブスクリプション・プランやカスタマー・サポートを備え、プロフェッショナルなスタートアップ企業のように運営されており、約1万2,000人を超える被害者を出していたといいます。
-
Raptor Train: 侵害された約20万台以上のIoT(モノのインターネット)デバイスを、エンタープライズ規模のコントロール・センターで管理していた国家支援系ボットネットです。
IDCのセキュリティ&トラスト担当バイス・プレジデントであるChris Kissel氏は、「脅威インテリジェンスは、敵対者をできるだけ早く、かつできるだけ発生源に近い地点で見つけ出すために必要です。Lumenの大規模なインフラとBlack Lotus Labsの高い専門性により、IPバックボーンを最適な形で可視化できるため、サイバー攻撃キャンペーンが成功する可能性を大幅に低減できます」とコメントしています。
2026年に向けた戦略的指針: 攻撃の準備拠点を無力化
Lumenは、組織が後追い型の指標への依存から、インフラの把握へと移行することを推奨しています。Habtesion氏は、「効果的な防御には、侵入の最終地点を強化するだけでなく、攻撃者が経路を構築する上流環境、すなわち『準備拠点』を無力化することが必要です」と結論付けています。
「2026年版Lumen Defender脅威情勢レポート」の全文は、現在ダウンロード可能です。
Lumen Technologiesについて
Lumen Technologies(本社:米国ルイジアナ州モンロー)は、世界のデジタルの可能性を最大限に引き出すことを目指す企業です。人、データ、アプリケーションを迅速、安全、かつスムーズにつなぐことで、ビジネスの成長を後押ししています。AI向けの信頼できるネットワークとして、自社ネットワークの規模を活かし、顧客企業がAIの可能性を最大限に引き出せるよう支援しているということです。メトロ接続や長距離データ伝送から、エッジ・クラウド、セキュリティ、マネージド・サービス、デジタル・プラットフォーム機能に至るまで、顧客の現在のニーズだけでなく、将来に向けた構築ニーズにも対応しています。詳細については、同社のウェブサイトを参照ください。
将来の不確実な事象に関する記述
本プレスリリースには、将来の出来事についての一定の将来予測に関する記述が含まれています。これらの将来予測に関する記述は、将来の結果を保証するものではなく、あくまで同社の現時点での予想に基づくものであり、さまざまな不確実性の影響を受けるとしています。実際の結果は、米国証券取引委員会への提出書類に記載されている要因を含む複数の要因により、これらの記述の中で同社が予想した結果と著しく異なる可能性があるとされています。
ソース元
Lumen Unveils 2026 Defender Threatscape Report: Upstream Network Visibility is the New Front Line of Cyber Defense
https://ir.lumen.com/news/news-details/2026/Lumen-Unveils-2026-Defender-Threatscape-Report-Upstream-Network-Visibility-is-the-New-Front-Line-of-Cyber-Defense/default.aspx